SQUID LENTO AUTH AD VIA NTLM

jsh
(usa Slackware)

Enviado em 31/10/2007 - 09:42h

Olá amigos da vol!
estou com um grande problema,
Li diversos artigos e fóruns pela internet, cheguei a uma solução para o meu objetivo que era integrar squid e active directory de um cliente.
O cliente queria que ao abrir o internet explorer nenhuma senha fosse requerida ao usuário.

Eis que apareceu o ntlm, realizei testes internos e implantei no cliente com a autenticação funcionando perfeitamente.
O problema foi no outro dia com todos os usuários acessando ao mesmo tempo a internet...
A navegação ficou extremamente lenta, pior que navegação com internet discada. Existem cerca de 200 usuários que utilizam do serviço, a cpu usada não chega a 10%, em picos raros eu vi chegar a 7%.

Realmente não sei qual é o problema e preciso muito da ajuda dos companheiros aqui presentes.

a configuração do squid é:
----------------------------
auth_param ntlm program /usr/bin/ntlm_auth = DOMAIN/pdc.server --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth DOMAIN/pdc.server --helper-protocol=squid-2.5-basic
auth_param basic children 20
auth_param ntlm children 20
auth_param ntlm keep_alive on
auth_param basic credentialsttl 2 hours
auth_param basic realm Proxy Server

external_acl_type GRUPOS-NT ttl=0 children=200 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl usuarios_comuns external GRUPOS-NT usuarios_comuns
----------------------------
Motivo de usar o basic e o ntlm:

Usuarios logados no dominio a senha nao é requerida, caso o usuario esteja logado na estacao local (nao no dominio) a senha do dominio é requerida.


VERSOES:
samba-3.0.23c-2
squid-2.6.STABLE4-1.fc6
krb5-server-1.5-23.fc6
Fedora Core release 6 (Zod)






Aguardo resposta, obrigado amigos!

jsh
(usa Slackware)

Enviado em 31/10/2007 - 16:38h

alguem se habilita??

ricardoolonca
(usa Debian)

Enviado em 01/11/2007 - 05:29h

Se fizer proxu transperente acontece esse problema?

Parece que o problema é causado por tráfego na rede (emule, msn, radio) e não com o ntlm.

jsh
(usa Slackware)

Enviado em 01/11/2007 - 08:33h

O propósito do squid lá não permite transparência.

Na configuração antiga (padrão, ncsa_auth para o auth_param), este problema não ocorre.

Não tem msn, nem downloads via p2p na rede, tudo está bloqueado via squid+iptables.

A navegação com a nova configuração fica boa quando temos poucos usuários logados. Quando estamos no horário de pico (pouco menos de 200 usuarios usando a internet para navegar), o problema aparece.

verifiquei se poderia ser algum problema relacionado a escrita no disco (cache), mas a taxa de escrita está normal.

jsh
(usa Slackware)

Enviado em 16/11/2007 - 16:30h

Resolvi o problema sozinho.
o parâmetro "ttl" determina o tempo em que as informações coletadas pelo script "wbinfo_group.pl" serão armazenadas em cache.
Como estava setado com o valor "0", toda vez que um usuário tentava navegar, o script rodava para descobrir a qual grupo o usuário perdencia para então aplicar as regras.

Como existiam 200 usuários simultaneamente, este processo ficava lento.

A solução foi aumentar este tempo, coloquei 1800 segundos (30minutos).
Agora o squid está um brinco e autenticando no active directory sem requerir senha ao abrir o navegador.

Abraços amigos.